Modulo3 VF
Modulo3 VF
Modulo3 VF
Regulación jurídica:
● RD 3/2010, Esquema Nacional de Seguridad en el ámbito de la Administración
Electrónica.
● RD 4/2010 por el que se regula el Esquema Nacional de Interoperabilidad en el
ámbito de la Administración Electrónica
Ambas normas son de obligado cumplimiento por las AAPP, y con la finalidad
de crear condiciones objetivas de interoperabilidad y de seguridad que faciliten el
ejercicio de derechos y el cumplimiento de deberes a través de los medios electrónicos
A. Introducción
Principios básicos (Art. 4 ENS): Fundamentos que deben regir toda acción orientada
a asegurar la información y los servicios.
La seguridad como un proceso integral.
Gestión de la seguridad basada en los riesgos.
Prevención, reacción y recuperación.
Líneas de defensa.
Reevaluación periódica.
La seguridad como función diferenciada.
https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic/800-guia-esquema-
nacional-de-seguridad.html
C. Ámbito subjetivo
Están excluidos del ámbito de aplicación los sistemas que tratan información
clasificada regulada por Ley 9/1968, de 5 de abril, de Secretos Oficiales y normas de
desarrollo.
D. Ámbito objetivo
E. Plazo de adecuación.
El Artículo 11 del ENS establece que todos los órganos superiores de las
Administraciones públicas deberán disponer formalmente de su política de seguridad,
que será aprobada por el titular del órgano superior correspondiente y se plasmará en
un documento escrito, en el que, de forma clara, se precise, al menos, lo siguiente:
Se tiene que proceder a inventariar, identificar y clasificar, todos los elementos que
intervengan en el sistema de información de la Administración Pública: (Servicios,
Información, Hardware, Software, Personal, Instalaciones).
Cada Activo tiene que ser valorado con los criterios definidos en la guía CCN-STIC-
803, ESQUEMA NACIONAL DE SEGURIDAD, VALORACIÓN DE LOS SISTEMAS:
Disponibilidad, Integridad, Confidencialidad, Trazabilidad, Autenticidad, dando
valoraciones de cada uno de los activos fundamentales según los niveles establecidos:
BAJO, MEDIO, ALTO o SIN VALORAR.
Dimensiones de seguridad:
Confidencialidad. Propiedad o característica consistente en que la información
ni se pone a disposición, ni se revela a individuos, entidades o procesos no
autorizados. La pregunta a responder para valorar un activo en este criterio será:
¿Qué importancia tendría que el activo fuera revelado a personas no
autorizadas?
Integridad. Propiedad o característica consistente en que el activo de
información no ha sido alterado de manera no autorizada Para valorar este
criterio la pregunta a responder será: ¿Qué importancia tendría que el activo
fuera alterado por alguien sin autorización?
Autenticidad. Propiedad o característica consistente en que una entidad es
quien dice ser o bien que garantiza la fuente de la que proceden los datos. La
pregunta aquí sería, ¿qué importancia tendría que el activo no fuera auténtico?,
Trazabilidad. Propiedad o característica consistente en que las actuaciones de
una entidad pueden ser imputadas exclusivamente a dicha entidad. La valoración
Medio Porque la información deben conocerla sólo quienes lo necesiten para su trabajo, con
autorización explícita.
Por disposición legal o administrativa: ley, decreto, orden, reglamento, …
Porque su revelación causaría algún perjuicio.
Porque su revelación supondría el incumplimiento leve de una norma.
Porque su revelación causaría pérdidas económicas apreciables.
Porque su revelación causaría un daño reputacional importante con los ciudadanos o con
otras organizaciones
Porque su revelación podría desembocar en protestas públicas (alteración del orden
público)
valorar
Sin Cuando no se pueden producir errores de importancia, o son fácilmente reparables por
ID ACTIVO C I A T D
SERVICIOS
S01 Portal web (SEDE) S/V B B B M
S02 Inicio de Expedientes (SEDE) M M M M B
S03 Consulta de Expedientes (SEDE) M B B B B
INFORMACIÓN
I01 Información web B B B B M
I02 Expedientes M M M M M
I03 Documentación de Expedientes B M M M B
HARDWARE
HW01 Servidor Cobos M M M M M
HW02 Servidor Sotopalacios M M M M M
HW03 Servidores Cernegula M M M M M
SOFTWARE
SW01 Aplicación Web M M M M M
SW02 Intranet de los Ayuntamientos M M M M M
SW03 E-sign M M M M M
PERSONAL
P01 Personal de la Diputación M M M M M
P02 Personal de los Ayuntamientos M M M M M
P03 Personal subcontratado M M M M M
INSTALACIONES
IN01 CPD M M M M M
IN02 Oficinas centrales M M M M M
IN03 Oficinas extraradios M M M M M
Dependiendo del nivel de criticidad de cada activo se deben aplicar las siguientes
medidas.
D. Auditoria y Conformidad.
F. ¿Preguntas?
Si una Administración Pública tienes sus sistemas certificados contra ISO 27001,
¿debe entender que ya está cumpliendo con el ENS?
NO
ISO 27001 y el ENS, pese a ser normas, persiguen objetivos distintos: ISO 27001 es
una norma de gestión que indica cómo llegar a tener un sistema de gestión de seguridad
de la información (para ello se apoya en las recomendaciones de ISO 27002). Sin
embargo, el ENS es una norma de protección.
Sin embargo, dicho esto, conviene añadir que quién haya certificado su
servicio/sistema conforme a ISO 27001 está muy cerca de asegurar el cumplimiento del
ENS, cuya conformidad debe alcanzarse siguiendo la metodología descrita en los Anexos
I, II y III del Real Decreto 3/2010.
Terminar diciendo que el cumplimiento del Anexo II del ENS (medidas de seguridad)
es obligatorio, aunque algunas de tales medidas fueren coincidentes con algunos de los
controles de ISO 27001/27002.
A. Ámbito de aplicación.
B. Objetivos.
C. Estructura y contendido
C.3. Reutilización.
El ENI trata de la reutilización de las aplicaciones de las Administraciones públicas, de la
documentación asociada y de otros objetos de información. Concretamente el ENI
establece:
Las condiciones de licenciamiento de las aplicaciones y de la documentación
asociada, y de otros objetos de información de los cuales las Administraciones
públicas sean titulares de los derechos de propiedad intelectual y que éstas
puedan poner a disposición de otras Administraciones públicas y de los
ciudadanos, sin contraprestación y sin necesidad de convenio, tendrán en cuenta
que el fin perseguido es el aprovechamiento y la reutilización.
La Administración General del Estado mantendrá el Directorio de aplicaciones
para su libre reutilización que podrá ser accedido a través del Centro de
Transferencia de Tecnología.
Las Administraciones públicas enlazarán los directorios de aplicaciones para su
libre reutilización.
Las Administraciones públicas deberán tener en cuenta las soluciones
disponibles para la libre reutilización que puedan satisfacer total o parcialmente
las necesidades de los nuevos sistemas y servicios o la mejora y actualización de
los ya implantados.
Las Administraciones públicas procurarán la publicación del código de las
aplicaciones, en desarrollo o finalizadas, en los directorios de aplicaciones para
su libre reutilización con el fin de favorecer las actuaciones de compartir,
reutilizar y colaborar, en beneficio de una mejor eficiencia.
1. Interoperabilidad organizativa.
La interoperabilidad organizativa incluye los aspectos relativos a la publicación de
servicios a través de la Red de comunicaciones de las Administraciones Públicas, con las
condiciones asociadas; la utilización de nodos de interoperabilidad; y el mantenimiento
de inventarios de información administrativa (órganos administrativos, oficinas de
registro y atención al ciudadano, servicios y procedimientos).
ART. 8 – Servicios de las Administraciones públicas disponibles por medios electrónicos.
Establecer y publicar las condiciones para el Por ejemplo a través de los convenios de
consumo de los servicios puestos a disposición del colaboración para prestación mutua de servicios
resto de entidades por medios electrónicos de administración electrónica suscritos por el
incluyendo los servicios intermediados. Ministerio de Hacienda y Administraciones
Públicas con CC.AA., CRUE, Tribunal
Constitucional y protocolo con la Casa de S.M. El
Rey.
2. Interoperabilidad semántica.
La interoperabilidad semántica se consigue a través de la publicación y aplicación de
los modelos de datos de intercambio horizontales y sectoriales, así como los relativos a
infraestructuras, servicios y herramientas comunes, a través del Centro de
Interoperabilidad Semántica de la Administración (CISE).
3. Interoperabilidad técnica.
La interoperabilidad técnica se consigue a través del uso de estándares en las
condiciones previstas en la normativa para garantizar la independencia en la elección,
la adaptabilidad al progreso y la no discriminación de los ciudadanos por razón de su
elección tecnológica.
ART. 22 – Seguridad.
Aplicar el Esquema Nacional de Seguridad para R.D. 3/2010 ENS.
garantizar la conservación de los documentos Guías de implantación ENS.
electrónicos. Recursos CCN-CERT ENS.
Cumplir con la normativa de protección de datos Ley Orgánica 15/1999.
de carácter personal. R.D. 1720/2007.
Utilizar preferentemente firmas longevas que NTI de Política de Firma Electrónica y de
preserven la conservación de las firmas a lo largo certificados de la Administración.
del tiempo según lo dispuesto en la Política de Guía de aplicación de la NTI de Política de
firma de la entidad. Firma Electrónica y de certificados de la
Administración.
Política de Firma electrónica y de certificados
de la AGE.